Sagen Sie den Benutzern, dass sie „vermeiden, auf schlechte Links zu klicken“, und funktioniert immer noch nicht, UK National Cyber Security Centre

von

Absolut! Hier ist ein ausführlicher Artikel, der auf dem Blog-Beitrag des UK National Cyber Security Centre (NCSC) basiert und die wichtigsten Punkte verständlich erklärt:

Warum es immer noch nicht reicht, Nutzern zu sagen, sie sollen nicht auf „schlechte Links“ klicken

Das UK National Cyber Security Centre (NCSC) hat einen wichtigen Punkt angesprochen: Trotz jahrelanger Warnungen klicken Menschen immer noch auf schädliche Links in E-Mails, Nachrichten und auf Webseiten. Der Blog-Beitrag „Telling Users to Avoid Clicking Bad Links Still Isn’t Working“ vom 13. März 2025 um 11:22 Uhr beleuchtet, warum diese traditionelle Herangehensweise an Cybersicherheit nicht ausreicht und welche Strategien effektiver sein könnten.

Das Problem: Der Mensch als Schwachstelle

Die Vorstellung, dass man Nutzer einfach nur ausreichend informieren muss, um sie vor Phishing und anderen Online-Bedrohungen zu schützen, ist schlichtweg unrealistisch. Hier sind einige Gründe dafür:

  • Perfektion ist unmöglich: Selbst die aufmerksamsten und technisch versiertesten Personen können Fehler machen, insbesondere unter Zeitdruck oder bei Ablenkung. Ein kurzer Moment der Unachtsamkeit kann ausreichen, um auf einen gefährlichen Link zu klicken.
  • Sophisticated Phishing-Techniken: Cyberkriminelle werden immer besser darin, täuschend echt wirkende E-Mails und Webseiten zu erstellen. Sie nutzen psychologische Tricks, um Angst, Neugierde oder Dringlichkeit zu erzeugen und so Nutzer zum Handeln zu bewegen.
  • Überforderung: Die schiere Menge an Informationen über Cybersicherheit kann überwältigend sein. Viele Nutzer wissen schlichtweg nicht, worauf sie achten sollen oder wie sie verdächtige Links erkennen können.
  • Menschliche Natur: Menschen sind von Natur aus neugierig und hilfsbereit. Cyberkriminelle nutzen diese Eigenschaften aus, um Nutzer dazu zu bringen, auf Links zu klicken oder persönliche Informationen preiszugeben.

Was funktioniert besser? Ein mehrschichtiger Ansatz

Anstatt sich ausschließlich auf die Schulung der Nutzer zu verlassen, empfiehlt das NCSC einen umfassenderen Ansatz, der verschiedene Schutzebenen kombiniert:

  1. Technische Kontrollen:

    • E-Mail-Filter: Moderne E-Mail-Filter können viele Phishing-E-Mails automatisch erkennen und blockieren, bevor sie überhaupt in den Posteingang des Nutzers gelangen.
    • Web-Filter: Diese Filter blockieren den Zugriff auf bekannte schädliche Webseiten.
    • Multi-Faktor-Authentifizierung (MFA): MFA fügt eine zusätzliche Sicherheitsebene hinzu, indem sie von Nutzern verlangt, neben ihrem Passwort einen weiteren Code einzugeben, der beispielsweise an ihr Smartphone gesendet wird. Selbst wenn ein Angreifer das Passwort eines Nutzers stiehlt, benötigt er noch den zweiten Faktor, um auf das Konto zuzugreifen.
    • Automatische Software-Updates: Regelmäßige Updates schließen Sicherheitslücken in Software und Betriebssystemen, die von Cyberkriminellen ausgenutzt werden könnten.

  2. Vereinfachung der Sicherheit:

    • Klare und einfache Anweisungen: Anstatt Nutzer mit komplexen technischen Details zu überfordern, sollten Sicherheitsrichtlinien und -verfahren klar und einfach verständlich sein.
    • Benutzerfreundliche Tools: Sicherheitssoftware und -tools sollten einfach zu bedienen sein und Nutzern helfen, potenzielle Bedrohungen zu erkennen und zu vermeiden.
    • Standardisierte Prozesse: Klare Prozesse für den Umgang mit verdächtigen E-Mails oder Vorfällen helfen Nutzern, richtig zu reagieren.

  3. Verhaltensänderung durch Design:

    • Kontextbezogene Warnungen: Anstatt generische Warnmeldungen anzuzeigen, sollten Sicherheitswarnungen spezifisch und kontextbezogen sein und Nutzern genau erklären, warum eine bestimmte Aktion riskant sein könnte.
    • „Nudging“: Kleine, subtile Hinweise können Nutzer dazu bringen, sicherere Entscheidungen zu treffen. Zum Beispiel könnte eine E-Mail-Anwendung den Absendernamen einer E-Mail deutlicher hervorheben, um Phishing-Versuche zu erkennen.
    • Belohnung sicheren Verhaltens: Anstatt Nutzer nur für Fehler zu bestrafen, sollten sie für sicheres Verhalten belohnt werden. Dies kann in Form von Anerkennung, kleinen Anreizen oder einfach nur positivem Feedback erfolgen.

  4. Kultur der Cybersicherheit:

    • Regelmäßige Schulungen und Sensibilisierungskampagnen: Schulungen sollten nicht nur einmalig stattfinden, sondern regelmäßig wiederholt und aktualisiert werden, um Nutzer über die neuesten Bedrohungen und Best Practices auf dem Laufenden zu halten.
    • Offene Kommunikation: Nutzer sollten ermutigt werden, verdächtige E-Mails oder Vorfälle zu melden, ohne Angst vor negativen Konsequenzen haben zu müssen.
    • Vorbildfunktion: Führungskräfte und Manager sollten mit gutem Beispiel vorangehen und sichere Verhaltensweisen vorleben.

Fazit

Nutzer zu sagen, sie sollen nicht auf „schlechte Links“ klicken, ist ein notwendiger, aber unzureichender Ansatz zur Cybersicherheit. Ein effektiver Schutz erfordert einen mehrschichtigen Ansatz, der technische Kontrollen, vereinfachte Sicherheitsmaßnahmen, verhaltensänderndes Design und eine starke Sicherheitskultur kombiniert. Indem wir uns auf diese Bereiche konzentrieren, können wir das Risiko von Cyberangriffen deutlich reduzieren und unsere Organisationen und Einzelpersonen besser schützen.

Sagen Sie den Benutzern, dass sie „vermeiden, auf schlechte Links zu klicken“, und funktioniert immer noch nicht

Die KI hat die Nachrichten geliefert.

Die folgende Frage wurde verwendet, um die Antwort von Google Gemini zu generieren:

Um 2025-03-13 11:22 wurde ‚Sagen Sie den Benutzern, dass sie „vermeiden, auf schlechte Links zu klicken“, und funktioniert immer noch nicht‘ laut UK National Cyber Security Centre veröffentlicht. Bitte schreiben Sie einen ausführlichen Artikel mit relevanten Informationen in leicht verständlicher Form.


36

Post Views: 12

Schreibe einen Kommentar